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Kişisel verilerin korunması müessesi kaynağını Anayasanın “Özel Hayatın Gizliliği” 
maddesinden almaktadır. 


Kanunda belirtildiği üzere; herkes, özel hayatına ve aile hayatına saygı gösterilmesini 
isteme ve kendisiyle ilgili kişisel verilerin korunmasını4steme hakkına sahiptir. 


Özel hayatın ve aile hayatının gizliliğine dokunulamaz. 


Söz konusu hak, kişinin kendisi ileilgili kişisel veriler hakkında bilgilendirme; bu verilere 
erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda 
kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda 
öngörülen hallerde veya kişinin açık'rızası ile işlenebilir. 


Anayasa'nın 20. Maddesinde belirtildiği üzere, kişisel verilerin korunmasına ilişkin 
esas ve usuller KANUNLA düzenlenir. Bu nedenle 7 Nisan 2016 tarihinde 6698 sayılı 
KİŞİSEL VERİLEN KORUNMASI HAKKINDA KANUN (KVKK) yayımlanmıştır. 
Kanunda tanınan 2 yıllık uyum süresi 7 Nisan 2018 tarihi ilẹ sona ermiştir. 


KİŞİSEL VERİ NEDİR? 

Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir yani 
bireyin adı, soyadı, doğum tarihi ve yeri gibi kesin teşhis sağlayan bilgiler ile kişinin 
fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgilerdir. 

Bu bilgiler sayesinde veriler ile kişiler ilişkilendirilerek o kişi tanımlanabilir hale 
getirilmektedir. 


-Ad Soyad - Pasaport numarası - Araç plakası 
-Telefon Numarası - Doğum Tarihi/Doğum Yeri - Adres 
-TC Kimlik Numarası - SGK Numarası - Medeni Durum 


Bunların haricinde fiziki, ailevi, ekonomik, sosyal özelliklerine ilişkin bilgiler de kişisel 
veridir. 


KİŞİSEL VERİLERİ İŞLEMEK NE DEMEKTİR? 
Kişisel verilerin; 


- Elde Edilmesi -Muhafaza edilmesi -Yeniden düzenlenmesi 
- Kaydedilmesi Oo - Değiştirilmesi - Devralınması 
- Depolanması -Açıklanması - Sınıflandırılması 
- Kullanılmasının engellenmesi -Elde edilebilir hale getirilmesi 


gibi veriler üzerinde yapılan tüm işlemleri ifade eder. 
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KİŞİSEL VERİLER İŞLENİRKEN NELERE DİKKAT EDİLMELİDİR? 


Kişisel Verilerin Korunması Hakkında Kanunda, kişisel veriler işlenirken uyulması 
gereken ilkeler belirtilmiştir. 


Bu ilkeler; 

1-Hukuka ve dürüstlük kurallarına uygun olma, 

2- Doğru ve gerektiğinde güncel olma, 

3- Belirli, açık ve meşru amaçlar için işlenme 

4-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 

5-İlgili mevzuatta öngörülen veya işlendikleri amaç «için gerekli olan süre kadar 
muhafaza edilme. 


KİŞİSEL VERİLERİ İŞLEMEK İÇİN NE YAPILMALI? 


Kişisel veriler işlemek için öncelikle İLGİLİ KİŞİNİN AÇIK RIZASI ALINMALIDIR. 
Aşağıdaki hallerin varlığı halinde, kişisel veriler ilgili kişinin açık rizası olmadan da 
işlenebilir. 


İSTİSNAİ HALLER NELERDİR? 


--Kanunlarda açıkça öngörülmesi. 

--Fiili imkânsızlık 

--Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması 

--Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması 
--İlgili kişinin kendisi tarafından alenileştirilmiş olması 

--Bir hakkın tesisi, kullanılması veya-korunması için veri işlemenin zorunlu olması. 
--Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 


ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR? 


Özel nitelikli kişisel veriler kanunda şu şekilde sınırlandırılmıştır: 


-Irk -Din -Kılık ve kıyafet -Cinsel hayatı 
-Etnik köken -Biyometrik ve genetik -Dernek, vakıf ya da -Felsefi inanç 
veriler sendika üyeliği 
-Siyasi düşüncesi -Mezhep - Sağlık Durumu -Diğer 
inançlar 


-Ceza mahkümiyeti ve güvenlik tedbirleriyle ilgili veriler 
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMEK İÇİN NE YAPILMALIDIR? 


Özel nitelikli kişisel verilerin işlenmesi için kural olarak İLGİLİ KİŞİNİN AÇIK 
RIZASI ALINMALIDIR. 


1- Sağlık ve cinsel hayat dışındaki - kanunlarda öngörülen hâllerde 
2-Sağlık ve cinsel hayata ilişkin kişisel veriler ise 
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Kamu sağlığının korunması 

Koruyucu hekimlik 

Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi 

Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla (sır 
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar 
tarafından) ilgilinin açık rızası aranmaksızın işlenebilir. 


KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 
Kişisel Veriler Ne Kadar Saklanmalıdır? 
Kişisel veriler; 


-6698 sayılı Kişisel Verilerin Korunması Kanunu, 

-6098 sayılı Türk Borçlar Kanunu, 

-4734 sayılı Kamu İhale Kanunu, 

-5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 

-5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu»yYayınlar 
Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 

-5018 sayılı Kamu Mali Yönetimi Kanunu, 

-6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 

-4982 Sayılı Bilgi Edinme Kanunu, 

-3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 

-4857 sayılı İş Kanunu, 

-5434 sayılı Emekli Sağlığı Kanunu, 

-2828 sayılı Sosyal Hizmetler Kanunu 

-İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin 
Yönetmelik 


-Arşiv Hizmetleri Hakkında Yönetmelik 





Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde 
öngörülen saklama süreleri kadar saklanmaktadır. 


Kişisel Verilerin İmhası 
Kişisel veriler; 


-İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 
-İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 

-Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili 
kişinin açık rızasını geri alması, 

-Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin 
silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi, 
-Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim 
hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı 
yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; 
Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, 
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-Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel 
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 
durumlarında, ilgili kişinin talebi üzerine silinmeli, yok edilmeli ya da re'sen silinmeli, 
yok edilmeli veya anonim hale getirilmelidir. 


Saklama ve İmha Süreleri Tablosu 


SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ 


Sözleşmelerin Sözleşmenin sona | Saklama süresinin bitimini takip eden 
hazırlanması ermesini takiben 10 yıl | ilk periyodik imha süresinde 


Saklama süresinin bitimini takip eden 
Faaliyetlerinin İcrası ermesini takiben 10 yıl | ilk periyodik imha süresinde 
İnsan Kaynakları Saklama süresinin bitimini takip eden 
Süreçlerinin Yürütülmesi | ermesini takiben 10 yıl periyodik imha süresinde 


Log Kayıt Takip 10 vil Saklama süresinin bitimini takip eden 
Sistemleri y ilk periyodik imha süresinde 


Donanım ve Yazılıma e e ir 

“e > n Saklama süresinin bitimini takip eden 
Erişim Süreçlerinin | 2 yıl K eye 

e i ilk periyodik imha süresinde 
Yürütülmesi 
SONANIN -i TAMA Saklama süresinin bitimini takip eden 
Erişim Süreçlerinin | 2 Yıl i E en C 

nee , ilk periyodik imha süresinde 
Yürütülmesi 
Ziyaretçi ve Toplantı Etkinliğin sona ermesini | Saklama süresinin bitimini takip eden 


Katılımcılarının Kaydı Takiben 2 Yıl ilk periyodik imha süresinde 
Kamera Kayıtları 2 Yıl Saklama süresinin bitimini takip eden 
ilk periyodik imha süresinde 


Kişisel Veri Saklama ve İmha Politikası 





Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme 
envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla 
yükümlüdür. 

Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve 
Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale 
getirildiği anlamına gelmez. 

Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri 
sorumlularının, Kanun ve Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme 
veya anonim hale getirme yükümlülükleri devam eder. 

Kişisel veri saklama ve imha politikasının kapsamı 

Kişisel veri saklama ve imha politikası asgari olarak; 


a) Kişisel veri saklama ve imha politikasının hazırlanma amacına, 
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b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına, 

c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin 
tanımlarına, 

d) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer 
sebeplere ilişkin açıklamaya, 

e) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi 
ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, 

f) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari 
tedbirlere, 

g) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, 
birimlerine ve görev tanımlarına, 

h) Saklama ve imha sürelerini gösteren tabloya, 

i) Periyodik imha sürelerine 

j) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz 
konusu değişikliğe ilişkin bilgileri kapsar. 


SORUMLULUKLARINIZ NELERDİR? 
A- “VERİ SORUMLUSU” iseniz; 


Kanunda belirtildiği üzere veri sorumlusu “kişisel verilerin işleme amaçlarını ve 
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu 
olan gerçek veya tüzel kişi”dir. Veri sorumluları, kişisel veri işlemeye başlamadan önce 
Sicile kayıt yükümlülüklerini yerine getirmek zorundadır. 


1- AYDINLATMA YÜKÜMLÜLÜĞÜ yerine getirilmelidir. 

2- 2-Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için, verilere hukuka 
aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla 
uygun«güvenlik düzeyini teminsetmeye yönelik gerekli her türlü teknik ve idari 
tedbirleri alınmalıdır. 


Veri Sorumluları Siciline Kaydolmak İçin Gerekli Kriterler ve Kayıt İçin Tanınan 
Süreler 


1- Yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 25 milyon TL'den 
çok olan gerçek ve tüzel kişiweri sorumluları için Veri Sorumluları Siciline kayıt 
yükümlülüğü başlangıç tarihi 01.10.2018 olup, Sicile kayıt yaptırmaları için 
31.12.2021 tarihine kadar süre verilmiştir. 


2- Yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı 25 milyon TL'den az 
olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek 
ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü 
başlangıç tarihi 01.01.2019 olup, Sicile kayıt yaptırmaları için bu veri 
sorumlularına 31.12.2021 tarihine kadar süre verilmiştir. 


3- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt 


yükümlülüğü başlangıç tarihi 01.04.2019 olup, Sicile kayıt yaptırmaları için bu 
veri sorumlularına 31.12.2021 tarihine kadar süre verilmiştir. 
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Veri sorumluları siciline (VERBİS) kayıt yükümlülüğü nasıl yerine getirilecek? 
VERBİS, kurulun gözetiminde, başkanlık tarafından kamuya açık tutulmaktadır. 

Veri Sorumlusunun Diğer Yükümlülükleri 


--Veri sorumlusu, tedbirlerin alınmasında veri işleyen ile birlikte sorumluluğa sahiptir. 
--Veri sorumlusu kendi kurum ve kuruluşunda, kanun hükümlerinin uygulanmasını 
sağlamak amacıyla gerekli denetimleri yapmak/yaptırmak zorundadır. 

--Veri sorumlusu ve veri işleyenler için öğrendikleri bilgileri başkasına açıklamama ve 
işleme amacı dışında kullanmama yasağı görevlerinden ayrılsalar dahi devam eder. 


B- “VERİ İŞLEYEN” iseniz; 


Kanunda belirtildiği üzere veri işleyen “Veri sorumlusunun verdiği yetkiye dayanarak 
onun adına kişisel verileri işleyen gerçek veya tüzel kişi'dir. 


Sorumluluklarınız; 


-Veri sorumlusu, tedbirlerin alınmasında veri işleyen ile birlikte'sorumluluğa sahiptir. 
-Veri sorumlusu ve veri işleyenler için öğrendikleri bilgileri başkasına açıklamama ve 
işleme amacı dışında kullanmama yasağı görevlerinden ayrılsalar dahi devam eder. 


Veri Sorumluları Siciline “Kayıt Yükümlülüğünden İstisna Tutulacak Veri 
Sorumluları 


6698 sayılı Kanunun 16 ncı maddesinin verdiği yetkiye dayanarak Sicile kayıt 
yükümlülüğüne istisna getirilen veri-sorumluları ile ilgili 02.04.2018 tarihli ve 2018/32 
sayılı Kurul kararı ile; 


Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan 
yollarla kişisel veri işleyenler, 


e 18/01/1972 tarihli ve 1512 sayılı Noterlik Kanunu uyarınca faaliyet gösteren 
noterler, 

e 04/11/2004 tarihli ve 5253 sayılı Dernekler Kanununa göre kurulmuş 
derneklerden, 

e 20/02/2008 tarihli ve 5737 sayılı Vakıflar Kanununa göre kurulmuş vakıflardan 
ve 

e 18/10/2012 tarihli 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanununa göre 
kurulmuş sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet 
alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına ve 
bağışçılarına yönelik kişisel veri işleyenler, 

e 22/04/1983 tarihli ve 2820 sayılı Siyasi Partiler Kanununa göre kurulmuş siyasi 
partiler, 


BİA Danışmanlık Ltd Şti 6 





BİA DANIŞMANLIK LTD ŞTİ 

e 19/3/1969 tarihli ve 1136 sayılı Avukatlık Kanunu uyarınca faaliyet gösteren 
avukatlar, 

e 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli 
Mali Müşavirlik Kanunu uyarınca faaliyet gösteren Serbest Muhasebeci Mali 
Müşavirler ve Yeminli Mali Müşavirler 


Sicile kayıt yükümlülüğünden istisna tutulmuştur. 
Yurtiçi Aktarım 


Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel 
verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü 
kişilere aktarılabileceği hükme bağlanmıştır. 


Bu kapsamda, kişisel verilerin aktarılması için aşağıdakı hallerden birinin bulunması 
gerekmektedir: 


e İlgili kişinin açık rızasının. alınması, 

e Kanunlarda açıkça öngörülmesi; 

e Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya 
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının 
hayatı veya beden bütünlüğünün korunması için zorunlu olması, 

e Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, 
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, 

e Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu 
olması, 

e İlgili kişinin'kendisi tarafından alenileştirilmiş olması, 

e Birhakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, 

e İlgili «Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri 
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 


Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden 
birinin bulunması gerekmektedir. 


e İlgili kişinin açık rızasının alınması halinde, 

e Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından 
kanunlarda açıkça öngörülmüş olması halinde, 

e Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının 
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin 
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi 
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve 
kuruluşlar tarafından 

e Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri 
sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel 
veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri 
işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri 
işleyendir. 
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Yurtdışına Aktarım 


Kişisel verinin yurt dışına aktarılabilmesi için 6698 sayılı Kişisel Verilerin Korunması 
Kanununun (6698 sayılı Kanun) 9 uncu maddesine göre aşağıdaki durumlardan birinin 
varlığı gerekir: 


nn ie İlgili kişinin açık rızasının bulunması 
Ilgili kişinin açık rızası var ise kişisel verinin yurt dışına aktarılması mümkündür. 


2- Yeterli korumanın bulunması 


Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen 
yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) 
aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. 

Buna göre; 


a) Aktarılacak veri özel nitelikli kişisel veri değilse; 


6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin 
varlığı gereklidir. 


Bu şartlar şunlardır; 


e Kanunlarda açıkça öngörülmesi, 

e Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya 
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının 
hayatı veya beden bütünlüğünün korunması için zorunlu olması, 

e Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, 
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, 

e Veri sorumlusunun «hukuki yükümlülüğünü yerine getirebilmesi için zorunlu 
olması, 

e İlgili kişinin kendisi tarafından alenileştirilmiş olması, 

e Birhakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, 

e İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri 
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 


b) Aktarılacak veri özel nitelikli kişisel veri ise; 

e Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça 
öngörülmesi halinde, 

e Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ancak kamu 
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım 
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve 
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili 
kurum ve kuruluşlar tarafından işlenmesi halinde yeterli korumaya sahip 
ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir. 
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3- Yeterli korumanın bulunmaması halinde 


Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda 
kişisel veri işleme şartlarının mevcut olması ile Türkiye'deki ve ilgili yabancı ülkedeki 
veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin 
bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri 
aktarımında; 


Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı 
olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde yeterli korumaya sahip 
olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir. 


Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı 
olarak taahhüt etmeleri aşağıdaki yöntemlerle gerçekleştirilebilecektir: 


VERİ SAHİBİNİN HAKLARI NELERDİR? 


Kişisel Verilerin Korunması «Hakkında Kanunun 11. Maddesine göre Veri 
sahibinin veri sorumlusundan talep edebileceği hakları şunlardır; 


-Kişisel veri işlenip işlenmediğini öğrenme 

-Kişisel verileri işlenmişse buna ilişkin bilgi talep etme 

-Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını 
öğrenme 

- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme 

-Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini 
isteme. Kişisel verilerin düzeltilmesi halinde yapılan işlemlerin kişisel verilerin 
aktarıldığı üçüncü kişilere bildirilmesini isteme 

-Kişisel verilerin silinmesini veya yok»edilmesini. isteme. Kişisel verilerin silinmesi 
halinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini 
isteme 

-İşlenen verilerin münhasiran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle 
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme 

-Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde 
zararın giderilmesini talep etme 


* Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede 
ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. 


KURULA ŞİKÂYET HAKKI 


- Başvurunun reddedilmesi, 

-Verilen cevabın yetersiz bulunması 

- Süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun 
cevabını öğrendiği tarihten itibaren otuz gün ve her hâlde veri sorumlusuna 


başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. 
- Şikâyet üzerine veya Kurul tarafından kendiliğince yapılan inceleme sonucunda, 


ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri 
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sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, 
tebliğden itibaren gecikmeksizin veen geç otuz gün içinde yerine getirilir. Kurul 
tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 
1.000.000 Türk lirasına kadar idari para cezası verilir. 


TAZMİNAT HAKKI 
Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır. 
İHLAL HALİNDE UYGULANACAK CEZALAR 


KVKK'da veri sorumlusunun yükümlülüklerini yerine getirmemesi halinde karşılaşacağı 
yaptırımlar öngörülmüştür. 


Buna göre, kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu'nun 35 (“TCK”) 
135 ila 140. madde hükümleri uygulanacaktır. Buna göre, sorumluların karşı karşıya 
kalabileceği cezai yaptırımlar açısından, TCK m. 135'de düzenlenen, kişisel verilerin 
hukuka aykırı olarak kaydedilmesi, m. 136'da düzenlenen kişisel verileri hukuka aykırı 
olarak bir başkasına verme, yayma veya ele geçirme, m. 138'de düzenlenen verileri 
yok etmeme suçları uygulama alanı bulabilecektir. Ayrıca, TCK m: 140'da düzenlendiği 
üzere, belirtilen suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü 
güvenlik tedbirlerine hükmolunacaktır. 


Bunların yanı sıra, TCK m. 132'de yer alan haberleşmenin gizliliğini ihlal, m. 133'te yer 
alan kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması ile m. 134'de 
düzenlenen özel hayatın gizliliğini ihlal suçları ise, koşulların bulunması halinde 
uygulama alanı bulabilecektir. KVKK'nın 18. maddesi uyarınca, i) aydınlatma 





w İmei 


Kurulu'nun verdiği kararların gereğini;iv) Veri Sorumluları Siciline kayıt ve bildirim 





yükümlülüğünü yerine getirmeyen veri sorumlusu olanlar, belirtilen tutarlarda idari 
para cezası yaptırımının muhatabı olacaktır. 


İDARİ PARA CEZALARI 

Aydınlatma yükümlülüğüne aykırılık cezası: 9.834 TL — 196.686 TL 

Veri güvenliğine ilişkin yükümlülüğe aykırılık cezası: 29.503 TL — 1.966.862 TL 
VERBİS'e kayıt yükümlülüğüne aykırılık cezası: 39.337 TL — 1.966.862 TL 


Kurul tarafından verilen kararları yerine getirme yükümlülüğüne aykırılık cezası: 
49.172 TL — 1.966.862 TL 


HAPİS CEZALARI 
e Kişisel Verileri Hukuka Aykırı Olarak Kaydetmek 


TCK madde 135/1 
Bir yıldan üç yıla kadar hapis cezası 
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e Kişilerin Siyasi, Felsefi Veya Dini Görüşlerine, Irki Kökenlerine; Hukuka 
Aykırı Olarak Ahlaki Eğilimlerine, Cinsel Yaşamlarına, Sağlık Durumlarına 
Veya Sendikal Bağlantılarına İlişkin Kişisel Verileri Hukuka Aykırı Olarak 
Kaydetmek. 
TCK madde 135/2 
Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır. 


e Kişisel Verileri, Hukuka Aykırı Olarak Bir Başkasına Vermek, Yaymak Veya 
Ele Geçirmek 
TCK Madde 136/1 
İki yıldan dört yıla kadar hapis cezası 


Bu Suçlar; Kamu Görevlisi Tarafından Ve Görevinin Verdiği Yetki Kötüye Kullanılmak 
Suretiyle, Belli Bir Meslek Ve Sanatın Sağladığı Kolaylıktan Yararlanmak Suretiyle, 
Işlenirse TCK Madde 137//1-b Yukarıda verilecek cezalar yarı oranında artırılır. 


Kanunların Belirlediği Sürelerin Geçmiş Olmasına Karşın Verileri Sistem İçinde Yok 
Etmekle Yükümlü Olanların Görevlerini Yerine Getirmemesi TCK Madde 138/1 Bir 
yıldan iki yıla kadar hapis cezası 


Suçun Konusunun Ceza Muhakemesi Kanunu Hükümlerine Göre Ortadan Kaldırılması 
veya Yok edilmesi gereken veri olması TCK Madde 138/2 Verilecek ceza bir kat 
artırılır. 


İDARİ TEDBİRLER 
1-Mevcut Risk ve'Tehditlerin Belirlenmesi 


Kişisel verilerin güvenliğinin sağlanması.için öncelikle. kişisel verilerin korunmasına 
lişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi 
durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin 
alınması gerekmektedir. Riskler belirlenirken kişisel verilerin özel nitelikli olup 
olmadığının, hangi derecede gizlilik seviyesi gerektirdiğinin, güvenlik ihlali halinde 
ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. 


2-Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 


Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka 
aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği 
ihlallerindendir. Bu nedenle çalışanların, kişisel verilerin hukuka aykırı olarak 
açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara 
yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam 
oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir. Ayrıca 
çalışanlara “Yasaklanmadıkça Her Şey Serbesttir” prensibi değil, “İzin Verilmedikçe 
Her Şey Yasaktır” prensibine uygun hareket etmeleri gerektiğinin belirtilmesi 
gerekmektedir. 


BİA Danışmanlık Ltd Şti 11 





BİA DANIŞMANLIK LTD ŞTİ 
Ayrıca kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin 
meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların 
bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin 
güncel tutulması sağlanmalıdır. 


3-Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 


Kişisel veri güvenliğine ilişkin iyi bir politika hazırlanması, bu kapsamdaki risklerin 
önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlayacaktır. 
Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmalı, yapılan 
kontroller belgelenmeli, geliştirilmesi gereken hususlar belirlenmeli ve gerekli 
güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam 
edilmelidir. Ayrıca, her kişisel veri kategorisi için ortaya'çıkabilecek riskler ile güvenlik 
ihlallerinin nasıl yönetileceği de açıkça belirlenmelidir. 


4-Kişisel Verilerin Mümkün Olduğunca Azaltılması 


Uzun süredir faaliyet gösteren şirketlerce toplanan kişisel verilerin bir kısmı zamanla 
doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen veriler 
haline gelebilmektedir. Bunun önüne geçebilmek için, anılan kişisel verilere ihtiyaç olup 
olmadığının değerlendirilmesi ve kişisel verilerin doğru yerde'muhafaza edildiğinden 
emin olunması gerekmektedir. Ayrıca, arşiv amaçlı tutulan verilerin, daha güvenli 
ortamlarda muhafaza edilmesi yetkisiz erişimin önüne geçilmesine yardımcı olacaktır. 
İhtiyaç duyulmayan kişisel verilerin kişisel veri saklama ve imha politikası ile kişisel 
verilerin silinmesi, yok edilmesi. ve anonim hale getirilmesi yönetmeliğine uygun ve 
güvenli bir şekilde imha edilmesi gerekmektedir. 


5-Veri İşleyenler ile İlişkilerin Yöntemleri 


Kanundaki düzenlemeye göre veri sorumluları ile veri işleyenler, kişisel verilerin 
güvenliğinin sağlanması konusunda müştereken sorumludurlar. Veri işleyen ile veri 
sorumluları arasında imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri 
sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve 
kapsamına uygun ve mevzuat ile uyumlu şekilde hareket edeceğine ilişkin hüküm 
içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması gerekmektedir. 
Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne 
tabi olacağının da sözleşmede yer alması önem taşımaktadır. 


Sözleşmede herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal 
veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi, Kurula ve ilgili kişiye 
bildirme yükümlülüklerinin yerine getirilmesi açısından faydalı olacaktır. 


Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, veri sorumlusu 
tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede 
belirtilmiş olması, veri işleyenin veri güvenliğini sağlama yükümlüğünü yerine getirmesi 
açısından faydalı olacaktır. 
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Bununla birlikte veri sorumlusu, kişisel veri içeren sistem üzerinde gerekli denetimleri 
yapar veya yaptırır, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı 
yerinde inceleyebilir. 


TEKNİK TEDBİRLER 


1-Siber Güvenliğin Sağlanması 

Siber ortamdaki tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını 
genişletmektedirler. Bu kapsamda tavsiye edilen yaklaşım, birçok prensip dahilinde 
tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin 
uygulanmasıdır. 


2-Kişisel Veri Güvenliğinin Takibi 


Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de-dışarıdan gelen 
saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli 
belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale. için geç 
kalınabilmektedir. 


Bu durumun önüne geçebilmek için resmi bir raporlama prosedürü oluşturulması 
gerekmektedir. Bu raporların sistem yöneticisi tarafından en kısa sürede 
toplulaştırılarak veri sorumlusuna sunulması gerekmektedir. 

Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya 
hatalı veri girişi, gizlilik ve “bütünlüğü bozan. ihlaller, bilişim sisteminin kötüye 
kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde 
saklanmalıdır. 


3-Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması 


Kişisel veriler, veri. sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt 
ortamında saklanıyor ise; bu cihazların ve kağıtların çalınması veya kaybolması ya da 
saklandığı fiziksel ortamların dış risklere karşı fiziksel güvenlik önlemlerinin alınması 
suretiyle korunması gerekmektedir. 


Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ 
bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. 


Aynı seviyedeki önlemlerin veri sorumlusu yerleşkesi dışında yer alan ve veri 
sorumlusuna ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de 
alınması gerekmektedir. Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren 
cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi 
nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin 
de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi gerekmektedir. 


Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da 


güvenlik ihlali riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri 
alınmalıdır. 
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Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim 
kontrol yetkilendirmesi ve/veya şifreleme yönteminin kullanılması kişisel veri 
güvenliğinin sağlanmasına yardımcı olacaktır. Bu kapsamda şifre anahtarı, sadece 
yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer 
şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece 
yetkili kişilerin erişebileceği ortamlarda saklanmalı, söz konusu evraklara yetkisiz 
erişim önlenmelidir. 


4-Kişisel Verilerin Bulutta Depolanması 


Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile 
hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri 
sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları 
tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde 
getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan 
güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca 
değerlendirilmesi gerekmektedir. 


5-Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı 


Veri sorumlusu tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut 
sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz 
önüne alınmalıdır.Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi 
üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise gönderilmesinden 
önce cihazlardaki veri «saklama ortamının sökülerek saklanması, sadece arızalı 
parçaların gönderilmesi gibi işlemler yapılması gerekir. Bakım ve onarım gibi amaçlarla 
dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına çıkartmasının 
engellenmesi için gerekli önlemlerin alınması gerekir. 


6-Kişisel Verilerin Yedeklenmesi 


Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya 
kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa 
sürede faaliyete geçmesi gerekmektedir. Bu nedenle tüm yedeklerin fiziksel 
güvenliğinin de sağlandığından emin olunmalıdır. 


GENERAL DATA PROTECTION REGULATION 

(GDPR) 

Yukarıda izah edilen Kişisel Verilerin Korunması Kanunu'na ek olarak Türkiye'de 
kurulan ve işletilen fakat Avrupa Birliğin de mukim kişilerin verilerini işleyen Türk 
Şirketlerinin GDPR'a uyum sağlaması gerekmektedir. General Data Protection 
Regulation (Bundan böyle “GDPR” olarak anılacaktır.) ile gerçek kişilere ait kişisel 
verilerin işlenmesi, korunması, aktarılması ve kişisel verilerin serbest dolaşımına ilişkin 
kurallar düzenlenmektedir. Bu bağlamda GDPR hakkında genel bilgilendirme ve 6698 
Sayılı Kişisel Verilerin Korunması Kanunu ile arasındaki farkları aşağıdaki şekilde 
özetlemek mümkündür. 
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1- GDPR' A Kimler Tabidir? 


GDPR'ın kapsamı yer/ülke itibariyle sınırlandırılmamıştır. Bu bağlamda; 


Avrupa Birliği'ne tabi ülke sınırları içerisinde kurulan şirketler, 

Avrupa Birliği'ne tabi ülke sınırları içerisinde kurulmasa dahi mal ve/veya hizmet 
sunumu gerçekleştiren ve birlik vatandaşlarının verilerini işleyen şirketler 
GDPR'a tabidir. 


Dolayısıyla Türkiye'de kurulan ve işletilen, kullanıcıların kişisel verilerini işleyen, 
muhtelif dil seçenekleri sunan, Euro ve/veya Sterlin ödeme alan ve Avrupa 
Birliğinde ki mukim kişilere hizmet sunan şirketler GDPR' a tabi olacaktır. 


2- GDPR' ın Kapsamı ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile 
Karşılaştırılması 


GDPR' ın kapsamı oldukça geniştir. Bilhassa 6698 Sayılı Kişisel Verilerin Korunması 
Kanunu ile kıyaslandığında birçok farklılık göze çarpmaktadır. Bu bağlamda.GDPR'a 
ilişkin farklılık arz eden hususları aşağıdaki gibi özetlemek mümkündür. 


-GDPR, başlangıçtan itibaren veri korumasını esas almaktadır. Bu husus mevcut 
durum içerisinde mahremiyetin en iyi şekilde korunmasını ifade etmektedir. 6698 Sayılı 
Kanunu'na göre istisnalar oldukça sınırlı olup; her durumda veri işlemenin hukuki bir 
temele oturtularak meşrulaştırılması amaçlanmaktadır. 


-GDPR, çocukların kişisel verilerine ayrıca önem vermektedir. 13 yaşın altındaki 
çocukların verilerinin işlenmesi için veli ya da vVasinin iznini, 13-15 yaş arasındaki 
çocuklar için üye devletin yasal düzenlemesinde aksi belirtilmedikçe yine veli ya da 
vasinin iznini: ve 16 yaş üzerindekiçocuklar için çocuğun kendi izninin alınması 
gerektiği belirtilmektedir. Çocukların verisinin işlenebilmesi için ayrıca bir aydınlatma 
metni hazırlanması ve metnin dilinin çocukların anlayabileceği sadelikte olması 
gerekmektedir. 


-GDPR' da ilgili kişinin verisi işlenmeden önce verisi hakkında aydınlatılması ve onay 
alınması gerektiğini belirtmektedir. Fakat GDPR uyarınca hazırlanacak olan 
Aydınlatma Meininin. kapsamı Kişisel Verilerin Korunması Kanunu uyarınca 
hazırlanacak metne nazaran çok.daha geniştir. Bu bağlamda GDPR'a uyum sürecinde 
hazırlanacak olan Aydınlatma Metninde alıcı gruplarının, veri teminini gerektiren 
sözleşmesel bir gerekliliğinin olup olmadığını, Aydınlatma Metinine konu verinin temin 
edilmemesinin şirket açısından doğuracağı olumsuz sonuçları, verinin hangi sistemler 
uyarınca işlenildiği, Avrupa Birliği dışına veri aktarımının detayları ve hangi koşullarda 
yapıldığı ve veri saklama süresinin açıkça belirtilmesi gerekmektedir. Bu bağlamda 
GDPR uyarınca hazırlanan Aydınlatma Metininin daha kapsamlı ve her noktaya temas 
eden bir niteliğe sahip olduğunu söylenebilecektir. 


-GDPR, veri ihlalinin bildirimi konusunda da farklı düzenlemeler öngörmüştür. Öyle ki 


en dikkat çekici düzenleme veri ihlalinin öğrenilmesinden itibaren en geç /2 saat 
içerisinde Denetleyici otoriteye bildirilmesine ilişkindir. ihlallerin bildirimi Denetleyici 
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Otoriteye ve Veri Sahibine yapılmaktadır. Veri ihlaline ilişkin dokümantasyon 
zorunluluğu da düzenlenmiştir. 


-GDPR'da öngörülen ceza miktarı 20.000.000 EURO ya da yıllık global cironun 
%4 şeklindedir. Iki seçenekli yaptırımdan hangisi daha yüksekse yaptırım olarak 
o ceza uygulanmaktadır. 


-GDPR; Temel İlkeler, Açık Rızanın Şartları, Veri Sahibinin hakları, Uluslararası Veri 
Transferi ve Denetleyici otorite kararlarına uymama hallerinde idari para cezaları 
uygulanacağını öngörmüştür. 6698 Kişisel Verilerin Korunması Kanun'un da ise idari 
para cezası uygulanmasını gerektiren haller daha kısıtlıdır. 


Belirtmek isteriz ki; 6698 Sayılı Kişisel Verilerin Korunması Kanunu'na uyum 
sağlanması GDPR'a uyum sağlanması ile eşdeğer değildir. Türkiye'de kurulan 
ve faaliyet gösteren fakat bir şekilde Avrupa Birliği vatandaşlarının verisini 
işleyen şirketlerin GDPR' a da uyum sağlaması gerekmektedir. Aksi durumda 
şirketler ciddi yaptırımlarla karşılaşabileceklerdir. 
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